BlackNevas (también conocido como Trial Recovery o Trial_recovery) es un grupo de ransomware activo desde septiembre de 2024, derivado directo del código de Trigona ransomware con posible ancestro técnico adicional en la familia CryLock (no confirmado). Su threat level según Halcyon AI es 7.3/10.
Opera sin modelo RaaS, con payloads para Windows (32/64-bit), Linux (32/64-bit), ARM, NAS y VMware ESXi. No gestiona un Data Leak Site propio — la presión de filtración la delega a través de una red de seis partners: Kill Security, Hunters International, DragonForce, Blackout, Embargo Team, Mad Liberator y MADDLL32, con broker de datos HumOR.
Las modalidades de extorsión van mucho más allá del “paga o publicamos”: incluyen data auctions, doxxing, negotiation leaks, legal assistance y victim client communication. Plazo estándar: 7 días.
Resumen del ataque
| Fase | Descripción |
|---|---|
| Acceso inicial | CVE-2021-40539 (ManageEngine, CVSS 9.8) o fuerza bruta RDP/MSSQL o spear-phishing |
| Reconocimiento | Enumeración drives A–Z, network share discovery (SMB) |
| Credential Access | DCSync + Mimikatz LSASS + WDigest registry + Veeam credentials vía PostgreSQL |
| Instalación RAT | MeshAgent (wvspbind.exe), AnyDesk, AteraAgent, ScreenConnect, TeamViewer, LogMeIn |
| Lateral Movement | SMB (/-lan), PSEXEC/PAEXEC, Bitvise SSH para ESXi |
| Exfiltración | Rclone como system.exe → MEGA + PCloud |
| Persistencia | Registry Run Keys, cuentas sys/sys1, servicios de autoarranque MeshAgent/AnyDesk |
| Impacto | Cifrado + Shadow Copy deletion + Disk Wipe (/wipe) + auto-borrado /delete |
| Extorsión | 7 días, multi-millón, 6 partners de filtración |
Acceso inicial
El vector más habitual es la explotación de CVE-2021-40539 — un bypass de autenticación REST API con RCE en Zoho ManageEngine ADSelfService Plus (CVSS 9.8, en el catálogo CISA KEV) que no requiere credenciales previas. Como alternativas documentadas: fuerza bruta contra MSSQL y RDP expuestos, y campañas de spear-phishing.
Una vez dentro, la fase de escalada usa CVE-2024-37085: creando el grupo de dominio ESX Admins (via net.exe /domain), cualquier miembro obtiene privilegios completos de administrador en hosts VMware ESXi sin autenticación adicional.
Credential Access
Lo que distingue a BlackNevas en esta fase es la variedad de técnicas combinadas:
DCSync contra Domain Controllers para extraer hashes de credenciales (T1003.006)
Mimikatz para dumping desde LSASS en memoria (T1003.001)
Modificación de registro WDigest (UseLogonCredential=1) para almacenar credenciales en claro
Extracción de credenciales de Veeam Backup directamente desde la base de datos PostgreSQL
️ Herramientas de acceso remoto (sin RAT propio)
BlackNevas no despliega un RAT propio. En su lugar abusa de herramientas RMM legítimas que pasan desapercibidas en muchos entornos corporativos:
MeshAgent — desplegado como servicio wvspbind.exe, oculto del Panel de Control vía modificación de registro
AteraAgent — instalado vía MSI, persiste como servicio de autoarranque
SplashTop, ScreenConnect, AnyDesk, LogMeIn, TeamViewer
Sin C2 propio post-cifrado. La infraestructura C2 observada durante intrusiones activas está en Francia.
Exfiltración
Robo de datos antes del cifrado para sostener la doble extorsión. Método documentado: Rclone (frecuentemente renombrado como system.exe) sincronizando a MEGA y PCloud. El foco es en drives compartidos y servidores de ficheros con datos corporativos sensibles.
Persistencia
Registry Run Keys apuntando a rutas no estándar (T1547.001)
Configuración del payload embebida en sección de recursos del binario (CFGS)
Cuentas locales sys o sys1 añadidas a Administradores locales y Remote Desktop Users (T1136.001)
MeshAgent y AnyDesk instalados como servicios de autoarranque
Cifrado
AES-256-OFB con IV único por fichero. La clave maestra de 32 bytes queda en el footer del fichero, cifrada primero con AES-CBC y luego con RSA-4112. La variante ESXi apunta específicamente a ficheros .vmdk y .vmsn en /vmfs.
trial-recovery.[random].[random]-ENCRYPTED
trial-recovery.[random].[random]-encrypted
trial-recovery.[random].[random]-erased
Nota de rescate: how_to_decrypt.txt.
Impacto y destrucción
La fase de impacto es deliberadamente destructiva más allá del cifrado:
Shadow Copy deletion — elimina todos los puntos de restauración antes del cifrado
Disk Wipe — parámetros /wipe y /wipeonly llenan el disco hasta provocar inestabilidad del sistema (T1561.001)
Auto-eliminación del payload vía parámetro /delete para borrar artefactos forenses
Víctimas y geografía
Halcyon AI documenta 12 víctimas conocidas y 28 muestras SHA-256 identificadas. Contra lo que se creía inicialmente, el foco primario es la región META (Medio Oriente, Turquía y África — especialmente UAE y Qatar), donde la mayoría de víctimas han optado por pagar. Como foco secundario: Asia-Pacífico, Europa Occidental y Norteamérica.
Fuentes
- Halcyon AI Threat Group — BlackNevas
- WatchGuard Ransomware Tracker — BlackNevas
- SentinelOne Anthology — BlackNevas
- ASEC AhnLab — BlackNevas Ransomware Analysis
- HivePro Threat Advisory — BlackNevas
Sectores Objetivo
Sectores de actividad en los que el grupo BlackNevas ha concentrado sus ataques.
Los activos de alto valor, la presión regulatoria y la baja tolerancia al tiempo de inactividad convierten a las instituciones financieras en objetivo prioritario. BlackNevas amenaza con filtrar datos a partners como Kill Security o DragonForce si no se paga el rescate.
La criticidad de los servicios de telecomunicaciones y el acceso privilegiado a redes de clientes hacen que estos entornos sean especialmente atractivos para la doble extorsión.
Entornos con sistemas Windows legacy, escasa segmentación OT/IT y uso frecuente de RDP expuesto son el terreno ideal para la propagación de BlackNevas.
La sensibilidad de los datos de pacientes y la dependencia de sistemas críticos 24/7 aumentan la probabilidad de pago del rescate en organizaciones sanitarias.
Bufetes de abogados y consultoras manejan datos altamente confidenciales de múltiples clientes, lo que eleva el impacto reputacional de una filtración y maximiza el poder de negociación del atacante.
Detection & Response Rules
Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.
Detecta la creación del grupo 'ESX Admins' via net.exe o PowerShell. CVE-2024-37085 permite que cualquier miembro de este grupo obtenga privilegios de administrador completos en hosts VMware ESXi sin autenticación adicional.
event.type = "Process Creation"
AND (tgt.process.name in ("net.exe", "net1.exe")
AND tgt.process.cmdline contains:anycase "group"
AND tgt.process.cmdline contains:anycase "ESX Admins"
AND tgt.process.cmdline contains:anycase "\/add"
AND tgt.process.cmdline contains:anycase "\/domain")
OR (tgt.process.name in ("powershell.exe", "pwsh.exe")
AND tgt.process.cmdline contains:anycase "ESX Admins")Detecta eventos de seguridad Windows (AD) de creación o modificación de grupos con nombre 'ESX Admins'. Cubre los event IDs 4727/4728/4731/4737/4754/4755/4756.
# ️ Esta detección requiere logs de Windows Security (AD) — no disponible en SentinelOne S1QL
# Implementar en SIEM con EventID 4727/4728/4731/4737/4754/4755/4756 + keyword "ESX Admins"
# S1QL alternativa (creación del grupo via process):
event.type = "Process Creation"
AND tgt.process.cmdline contains:anycase "ESX Admins"Detecta el uso de esxcli para matar VMs antes de cifrar los volúmenes. BlackNevas detiene todas las VMs activas en ESXi para liberar los discos .vmdk antes de ejecutar el payload de cifrado.
event.type = "Process Creation"
AND tgt.process.image.path endswith '/esxcli'
AND tgt.process.cmdline contains 'vm process'
AND tgt.process.cmdline contains 'kill'Detecta el borrado o redimensionamiento de Shadow Copies usando vssadmin, wmic, diskshadow, wbadmin o bcdedit. BlackNevas elimina los puntos de restauración antes del cifrado para impedir la recuperación sin pagar.
event.type = "Process Creation"
AND (
(tgt.process.name in ("powershell.exe", "pwsh.exe", "wmic.exe", "vssadmin.exe", "diskshadow.exe")
AND tgt.process.cmdline contains:anycase "shadow"
AND tgt.process.cmdline contains:anycase "delete")
OR (tgt.process.name = "wbadmin.exe"
AND tgt.process.cmdline contains:anycase "delete catalog")
OR (tgt.process.name = "bcdedit.exe"
AND tgt.process.cmdline contains:anycase "recoveryenabled no")
OR (tgt.process.name = "bcdedit.exe"
AND tgt.process.cmdline contains:anycase "bootstatuspolicy ignoreallfailures")
)Detecta escritura en claves Run/RunOnce apuntando a rutas sospechosas (AppData, Temp, Downloads). BlackNevas persiste via Run Keys con binarios en ubicaciones no estándar.
event.type in ("Registry Value Create", "Registry Value Modified")
AND (registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run')
AND (registry.value contains '\\AppData\\' OR registry.value contains '\\Temp\\' OR registry.value contains '\\Downloads\\' OR registry.value contains '\\Users\\Public\\' OR registry.value contains '\\ProgramData\\')Detecta procesos que escriben claves Run/RunOnce y cuyo ejecutable se lanzó desde carpetas de descarga o temporales. Indicador de instalación de persistencia post-phishing.
event.type in ("Registry Value Create", "Registry Value Modified")
AND (registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce')
AND (src.process.image.path contains '\\Downloads\\' OR src.process.image.path contains '\\Temporary Internet Files\\' OR src.process.image.path contains '\\AppData\\Local\\Microsoft\\Olk\\Attachments\\')Detecta intentos de login fallidos en SQL Server (EventID 18456). BlackNevas realiza fuerza bruta contra MSSQL expuesto como vector de acceso inicial. Regla de baja severidad individual; alta severidad en volumen (>10 en 5 min).
# ️ SentinelOne S1QL no indexa eventos de Windows Application Log (MSSQL EventID 18456)
# Implementar en SIEM/SIEM integración con Windows Event Forwarding
# S1QL alternativa — detectar proceso sqlservr.exe con conexiones entrantes masivas:
event.type = "IP Connect"
AND tgt.process.name = "sqlservr.exe"Detecta intentos de login fallidos en MSSQL desde IPs externas (no RFC1918). Alta fidelidad — login fallido en MSSQL desde internet es indicador sólido de reconocimiento o brute force activo.
# ️ SentinelOne S1QL no indexa eventos de Windows Application Log (MSSQL EventID 18456)
# Implementar en SIEM/SIEM integración con Windows Event Forwarding
# S1QL alternativa — detectar sqlservr.exe con conexiones desde IPs externas:
event.type = "IP Connect"
AND tgt.process.name = "sqlservr.exe"
AND NOT dst.ip.address matches "^(10\.|192\.168\.|172\.(1[6-9]|2[0-9]|3[01])\.|127\.)"Detecta la ejecución de NetScan (SoftPerfect) y Nmap. BlackNevas usa estos escáneres para mapear la red interna y localizar shares SMB, hosts RDP y ESXi antes de moverse lateralmente.
event.type = "Process Creation"
AND (
tgt.process.name in ("netscan.exe", "nmap.exe")
OR tgt.process.publisher contains:anycase "SoftPerfect Pty. Ltd."
OR tgt.process.publisher contains:anycase "Nmap Software LLC"
)Detecta la creación en disco de un fichero con 'netscan' en la ruta. Los atacantes suelen descargar NetScan a directorios temporales o de usuario antes de ejecutarlo.
event.type = "File Creation"
AND tgt.file.path contains:anycase "netscan"Detecta MeshAgent (wvspbind.exe en BlackNevas) lanzando cmd.exe o PowerShell. Indica uso del canal MeshCentral/MeshAgent para ejecución remota de comandos durante la intrusión activa.
event.type = "Process Creation" AND (src.process.image.path endswith 'meshagent.exe' AND (tgt.process.image.path endswith 'cmd.exe' OR tgt.process.image.path endswith 'powershell.exe' OR tgt.process.image.path endswith 'pwsh.exe'))Detecta ejecución de MeshAgent renombrado (BlackNevas lo despliega como wvspbind.exe, oculto del Panel de Control). El parámetro --meshServiceName delata el binario independientemente del nombre del ejecutable.
event.type = "Process Creation" AND tgt.process.cmdline contains '--meshServiceName' AND NOT tgt.process.image.path endswith 'meshagent.exe'Detecta instalación de MeshAgent como servicio Windows (EventID 7045 de Service Control Manager). BlackNevas instala MeshAgent como servicio de autoarranque para persistencia.
# ️ SentinelOne S1QL no indexa Windows System Log (SCM EventID 7045)
# Implementar en SIEM con Provider=Service Control Manager + EventID 7045
# S1QL alternativa — detectar instalación del servicio por proceso:
event.type = "Process Creation"
AND tgt.process.cmdline contains:anycase "--meshServiceName"Detecta ejecución de AnyDesk. Usado por BlackNevas como canal C2 alternativo durante la intrusión activa junto con MeshAgent. Baja fidelidad individualmente — contextualizar con otras alertas.
event.type = "Process Creation"
AND (tgt.process.name in ("AnyDesk.exe", "AnyDeskMSI.exe")
OR tgt.process.displayName contains:anycase "AnyDesk"
OR tgt.process.publisher contains:anycase "AnyDesk Software GmbH"
OR src.process.publisher contains:anycase "AnyDesk Software GmbH")Detecta instalación de AteraAgent via MSI (EventID 1033). BlackNevas instala AteraAgent como RMM alternativo para mantener acceso remoto persistente.
# ️ SentinelOne S1QL no indexa Windows Application Log (MSI EventID 1033)
# Implementar en SIEM con Provider=MsiInstaller + EventID 1033 + Message contains AteraAgent
# S1QL alternativa — detectar proceso de instalación o ejecución del agente:
event.type = "Process Creation"
AND (tgt.process.publisher contains:anycase "Atera Networks Ltd"
OR src.process.publisher contains:anycase "Atera Networks Ltd"
OR (tgt.process.name = "msiexec.exe"
AND tgt.process.cmdline contains:anycase "AteraAgent")
OR tgt.process.name = "AteraAgent.exe")Detecta ejecución de ScreenConnect/ConnectWise con parámetros de sesión de acceso (e=Access&, y=Guest&). BlackNevas usa ScreenConnect como herramienta de acceso remoto adicional.
event.type = "Process Creation" AND tgt.process.cmdline contains 'e=Access&' AND tgt.process.cmdline contains 'y=Guest&' AND tgt.process.cmdline contains '&p=' AND tgt.process.cmdline contains '&c=' AND tgt.process.cmdline contains '&k='Detecta ejecución de TeamViewer. BlackNevas usa TeamViewer como canal de acceso remoto alternativo durante la intrusión activa. Baja fidelidad individualmente — contextualizar con otras alertas.
event.type = "Process Creation"
AND (tgt.process.name in ("TeamViewer.exe", "TeamViewer_Desktop.exe", "TeamViewer_Service.exe")
OR tgt.process.publisher contains:anycase "TeamViewer Germany GmbH"
OR src.process.publisher contains:anycase "TeamViewer Germany GmbH")Detecta ejecución del servicio LMIGuardianSvc (LogMeIn). BlackNevas usa LogMeIn como herramienta de acceso remoto adicional para mantener persistencia C2.
event.type = "Process Creation"
AND (tgt.process.displayName contains:anycase "LMIGuardianSvc"
OR tgt.process.publisher contains:anycase "LogMeIn, Inc.")